CISO 커리어 로드맵 | 평생 배우는 사람 돼야

 

최고 정보보호 책임자(CISO)의 지위는 몇 년 동안 중요성과 가시성 면에서 꾸준히 상승해 왔다. 이는 기업의 데이터 침해 공격의 피해가 널리 알려졌기 때문인데, 결국 사이버 보안이 많은 기업에 더 큰 우선순위가 됐음을 의미한다.

 

CISO는 모든 정보 자산과 기술이 기업 내외부의 공격으로부터 충분히 보호되도록 사이버 보안 전략 및 프로그램을 수립하고 유지하는 책임을 지는 조직 내 고위급 임원이다. 이러한 임원은 보안 툴 및 서비스에 관한 의사결정을 감독할 뿐만 아니라, CSO, CIO 및 기타 고위 임원과 협력해 보안 정책과 절차도 관리한다. 이밖에 재해 복구 및 비즈니스 연속성 계획 수립 및 유지 관리, 전반적인 위험 관리 조정 지원, 정보보안 운영센터 감독 등도 CISO의 업무에 포함될 수 있다.

 

CISO는 기업의 가장 중요한 자원인 시스템, 네트워크 및 데이터를 보호해야 하는 책임을 진다. 오늘날의 비즈니스 환경에서 정보, 애플리케이션 및 연결성의 중요성을 감안할 때, 어떤 이유로든 이들 리소스가 잘못되면 중대한 문제가 발생할 수 있다.

 

클라우드 컴퓨팅 서비스의 성장, 모바일 기기 및 앱의 부상, 사물인터넷(IoT)의 출현, 여러 가지 데이터 개인 정보 보호 규정 시행 등 보안 업무의 부담과 복잡성이 커지고 있다. 그 결과 CISO 또는 이와 유사한 최고 수준의 사이버 보안 임원을 고용하는 것이 기업, 정부 기관 및 비영리 단체의 관행이 됐다.

 

현재 많은 CISO가 CEO나 이사회에 직접 보고할 정도로 그 역할이 매우 중요해졌다. CISO에게는 보안 기술과 서비스에 대한 깊은 지식뿐만 아니라 비즈니스 프로세스와 목표, 그리고 기업 문화에 대한 뛰어난 이해도 필요하다. 그렇다면 훌륭한 CISO가 되기 위해 구체적으로 무엇이 필요할까? 콜로라도 주 정부의 CISO인 데보라 블라이스는 아래와 같이 얘기한다.

학업과 교육

블라이스는 고등학교를 졸업하자마자 정규직으로 일하기 시작했고, 나중에 성인이 되어 대학으로 돌아갔다. 그는 2007년에 레지스 대학교에서 컴퓨터 네트워킹 전공으로 이학사 학위를 취득하면서 수석으로 졸업했다. 이후 석사 학위를 받기 위해 학교로 돌아가고 싶었지만, 아직 그런 기회를 갖지 못하고 있다.

 

블라이드는 “IT 경력이 숙명이었던 것 같다. 아버지가 컴퓨터 컨설팅 사업을 하고 있어서 어린 나이에 컴퓨터를 접했고 학교에서 컴퓨터 수업을 많이 듣기 전에 집에서 컴퓨터를 사용하는 법을 배웠다”라고 말했다.

 

블라이스의 아버지는 그가 10대 초반이던 어느 여름 집에 개인용 컴퓨터를 가져왔다. 그는 “개인용 컴퓨터가 일반 가정에서 일상화 되기 훨씬 전이었다. 아버지는 여름 동안 내게 데이터 입력 작업을 시켰고, 동시에 베이직 프로그래밍 책을 사주고 짜야 할 프로그램을 지정해 줬다”라고 말했다.

 

블라이스의 아버지는 퇴근 후 그의 프로그램을 확인하고 문제를 해결하고 프로그램을 실행하는 것을 도와주곤 했다. 그는 “컴퓨터가 다른 일을 하도록 만들 수 있는 코드를 쓰는 것에 대한 흥분을 경험하기 시작했다. 또한 무엇이 잘못됐고 어떻게 그것을 고칠 수 있는지를 알아내려고 노력하는 도전도 즐겼다”라고 말했다.

 

그러나 블라이스는 고등학교 3학년 때 경력에서 약간 벗어나는 길을 택했다. 수업을 여유 있게 듣도록 시간표를 짜고 동네 서점에 거의 정규직처럼 일했다. 그는 “서점에서 일하는 것을 좋아했고, 서점 사업으로 경력을 만들어 가겠다고 생각했다. 결국 컴퓨터 소프트웨어 소매점이었던 서점의 자회사를 관리하게 됐다. 그때 컴퓨터에 대한 열정과 관심이 다시 불타올랐고, 내가 정말로 IT 분야에 속해 있다는 것을 깨달았다”라고 말했다.

이력과 경력

대학에 다니기 전 컴퓨터 소프트웨어 소매점을 관리하던 중에 블라이스는 여행업종을 위한 IT 제품을 만드는 기업인 코비아(Covia, 지금의 트래블포트(Travelport))의 신입 테이프 오퍼레이터에 지원했다. 그는 “그 회사에 들어갔을 때 너무 흥분됐다. IT 경력을 위한 무한한 선택권을 가진 훌륭한 회사에 발을 들여놓을 수 있는 기회로 보았다. 프로그래밍 경력으로 나아가겠다고 생각했다”라고 말했다.

 

테이프 오퍼레이터로서 블라이스는 야간 근무를 했으며, 아침에 일을 마치고 나서는 자동화팀을 그림자처럼 따라다니며 메인프레임 컴퓨터의 프로세스를 자동화해 효율성과 복원력을 높이는 방법을 배웠다. 그는 스크립팅과 다른 자동화 기능에 대해서 배웠다. 이런 배움은 다음 경력으로 쉽게 옮겨가는 데 큰 도움이 됐다.

 

유닉스(UNIX) 플랫폼에 대한 자동화 및 전문 모니터링을 구축하기 위해 회사에 누군가가 필요했을 때, 그가 발탁됐다. 회사는 그가 유닉스 시스템 관리자가 될 수 있도록 필요한 교육을 제공했고, 그는 자신이 기존 자동화 업무보다 새로운 시스템 관리자 역할에 더 큰 흥미를 갖고 있음을 깨달았다.

 

며칠 동안 방화벽이 중단된 후 네트워크팀은 방화벽을 재구축하고 있었고 실제로 애플리케이션을 실행하는 것이 유닉스 시스템이라는 것을 발견했다. 블라이스는 “그때 그들은 방화벽 관리를 내게 넘겼다. 그것이 중요한 보안 장치가 될 것이라는 것을 깨달은 데다가 보안 교육을 받지 않았기 때문에 동네 서점에 가서 방화벽에 관한 책을 전부 샀다”라고 말했다.

 

블라이스는 그 책을 공부했고 보안에 대해 열정적으로 파고들었다. 채 1년도 지나지 않아 정보 보안팀으로 옮겼고 방화벽 애플리케이션 관리를 맡게 되었다. 그때부터 그는 정보보안이 자신의 경력에서 핵심이 될 것이라는 것을 알았다.

 

나중에 블라이스는 매니저가 되었고 이어 팀의 고위 매니저가 됐다. 트래블포트에서 일하는 동안 그의 가장 큰 업적 중 하나는 비즈니스 사례를 만들어 PCI 결제 카드 산업 데이터보안 표준(Payment Card Industry Data Security Standard, DSS)을 준수하기 위한 2년여 프로젝트 대해 경영진의 지원과 예산을 확보한 것이었다.

 

비즈니스 프로세스 아웃소싱 제공업체인 텔레테크(TeleTech)(현 TTEC)는 2009년 블라이스에게 정보 보안 프로그램의 이사직을 제안했다. 이 기업은 모든 적절한 시스템을 포함하고 보안 표준을 충족하는지 확인하기 위해 PCI DSS 노력의 범위를 정하는 데 전문가가 필요했다. TTEC에서의 5년 동안 그는 보안 담당 전무이사로 승진했다.

 

2014년 콜로라도주는 주 CISO 직위에 대한 공고를 냈다. 블라이스는 “직무기술서를 읽을수록 그들이 나를 찾고 있다는 확신이 들었다. 내가 사랑하는 주의 주민들을 위해 봉사하는 것보다 더 보람 있는 직업은 생각할 수 없었다”라고 말했다. 그는 이 직위에 채용됐고 주 CISO로서 주의회, 주 정부 기획예산처, 기관 집행부, 주 정부 CIO 및 주지사로부터 지지를 얻는데 성공했다.

 

블라이스는 “재임기간 동안 우리 팀은 내가 내세운 모든 전략적인 이니셔티브를 실현했다. 그 결과, 이해관계자가 우리를 신뢰했고, 보안 예산을 임기를 시작한 시점보다 2배 이상 늘어났다”라고 말했다.

기억에 남는 순간들

유닉스 시스템 관리자로서 블라이스가 꼽는 가장 인상적인 장면은 동료의 계정 중 하나를 ‘해커(hacker)’라는 이름으로 바꿨을 때였다. 그는 팀의 모든 구성원이 이 해커 계정이 누구의 것인지 알고 있을 것이라고 확신했다. 하지만 아니었다.

 

블라이스는 “어느 날 다른 동료로부터 해커가 우리 시스템 중 하나에 접속했다는 다급한 전화를 받았다. 어떻게 시스템에 해커가 있는 것을 알게 됐는지 묻자 현재 사용자를 보면 '해커'가 우리 시스템에 로그인해 있는 것을 볼 수 있다고 말했다. ‘해커’ 동료에게 로그오프하라고 요청하는 것으로 매우 간단하게 위협을 제거했다”라고 말했다.

 

또 하나 기억에 남는 장면은 2016년 당시 주지사였던 존 히켄루퍼와의 일화였다. 그는 “당시 모든 주 기관에서 구글 플랫폼에 2단계 검증을 시행할 계획을 주지사와 내각에 보고하고 있었는데, 갑자기 주지사가 모든 기관이 이 기술을 구현할 것으로 기대하며, 이미 완료했다고 돌발 발언을 했다. 하지만 이내 내게 고개를 돌려 웃으며 말했다. '계획이라는 것을 몰랐던 건 아니예요, 데비!'라고 했다. 보안이 중요하다는 의미를 강조하기 위한 것이었다. 그의 지원 덕분에 모든 주 기관에 대해 불과 90일 만에 2단계 검증을 시행할 수 있었다”라고 말했다.

업무 능력과 자격증

블라이스가 트래블포트에서 일하는 동안, 한 임원이 보안 분야에서 자격증을 받는다면 보안팀에 신뢰성을 가져다줄 것이라고 조언했다. 그는 “그의 지원으로 우리팀 대부분은 공인 정보 시스템 보안 전문가(CISSP)가 됐다. 개인 시간에 자격증을 위해 공부하고 그 목표를 달성한 것이 결국 대학에 등록하고 4년제 학위까지 취득하는 계기가 됐다"라고 말했다.

 

2003년 블라이스가 대학에 입학했을 때, 블라이스는 특히 경영진으로 성장하기를 원한다면 더 많은 비즈니스 지식이 필요하다는 것을 깨달았다. 그는 “보안 기술적인 측면에서는 매우 능숙했지만, 보안 리더십 역할을 성공적으로 수행하기 위해서는 재무 관리, 전략 및 이해 관계자 조정, 리더십 및 인력 관리에 대해 더 많이 배울 필요가 있었다”라고 말했다.

 

이어 "많은 사이버 보안 전문가가 자격증을 따기 위해 시간을 투자할 것을 권고한다. 자격증은 직업에 대한 헌신과 어느 정도 기본적인 수준의 지식을 가지고 있다는 것을 증명하는 좋은 방법이다”라고 덧붙였다.

직업에 대한 가장 큰 동기

블라이스는 “아버지가 항상 훌륭한 영감이었다. 그는 기술적일 뿐만 아니라 인간성이 좋아서 주변 사람으로부터 사랑받았다. 그는 신뢰를 고취시키고 자신이 그 신뢰를 받을 가치가 있다는 것을 보여주는데, 이는 비즈니스를 성장시키거나 비즈니스 내에서 관행을 개선할 때도 매우 중요하다. 또한, 우리 어머니는 항상 사람들을 격려해줬다. 그는 내가 배울 수 있는 자연스러운 사람-리더십 스타일을 가지고 있었다”라고 말했다.

 

블라이스는 운 좋게도 직장에서 멘토 역할을 해준 매니저와 리더를 만날 수 있었다. 매니저로서 내려야 할 어려운 결정을 통해 도움을 줬던 임원도 있었다. 그는 “당시 그 임원은 내가 결정을 내리지 않으면 나를 위해 결정이 내려질 것이라고 말했다. 결국 내가 나서서 결정을 내려야 했다. 그것은 의도하지 않았던 고통스러운 결정이었지만, 불확실성과 과도기의 시기에 내가 리더로 부상할 수 있는 기회이기도 했다”라고 말했다.

 

경영진의 리더십은 블라이스가 모든 어려운 전환, 모든 도전, 모든 인지된 실패를 성장의 기회로 보도록 격려했다. 블라이스는 “모든 것이 배우고 성장할 수 있는 가장 좋은 기회다. 이런 성장을 통해 어려운 시기를 헤쳐 나가는 것을 가능하다"라고 말했다.

비슷한 경력을 가진 이들을 위한 조언

블라이스는 CISO 경력을 원하는 이들을 위해 배움을 강조했다. 그는 “평생 배우는 사람이 되어야 한다. 새로운 지식이 경력의 다음 단계나 다음 의사 결정에서 어떻게 도움이 될지 모르기 때문에 새로운 무언가를 배울 기회를 절대 놓쳐서는 안된다. 직장에서는 필요한 모든 교육을 제공하지는 않으므로, 사이버 보안 전문가는 새로운 기술을 배우는데 그들의 시간을 투자해야 한다"라고 말했다.

 

블라이스는 특히 효과가 있었던 팁 몇 가지를 소개했다. 예를 들면 훌륭한 회사나 주 정부에 입사한 후 열심히 일해서 새로운 기술을 배우고 실현하는 데 얼마나 뛰어나는가를 보여주는 것이다. 그는 "현재의 역할에 능숙해짐에 따라, 새로운 기회가 주어질 것이고, 가장 즐기는 일을 할 수 있도록 경력을 만들어 갈 수 있을 것이다”라고 말했다.

 

콜로라도 CISO로 5년이 지났지만 블라이스는 여전히 자신이 하고 있는 일을 즐기고 있으며 앞으로 하고 싶은 일에 대해서도 생각한다. 현재 그는 학생이나 보안 경력 초기의 직장인들과 사이버 보안 분야의 직업에 대해 이야기하는 다양한 기회를 갖고 있다. 또한 주 전역과 전국에 있는 동료와 교류하고, 그들의 프로그램을 배우고, 그의 팀이 배운 성공과 교훈을 공유하는 것도 즐긴다.

 

블라이스는 “매년 내 목표는 더 많은 사람들이 이 진로를 고려하도록 격려하고, 전국에 있는 동료에게 더 많은 도움과 격려를 제공하는 것이다”라고 말했다.

 

반응형

출처

커리어 로드맵 | CISO 성공의 비결 "평생 배우는 사람 돼야"